フォレスト名が重複すると、フォレストの信頼が確立されると問題が発生する

この記事では、フォレストの信頼が確立されると、重複するフォレスト名によって問題が発生する場合の解決策について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 2744558

現象

複数のフォレストがあり、これらのフォレスト間に信頼があります。 次のような DNS 名が重複する 2 つのフォレストがあります。

forest1.com
forest2.forest1.com

他の 2 つのフォレストとフォレストの信頼を持つ 3 つ目のフォレスト forest3.com がある場合、このフォレストのフォレスト 2 のアカウントを操作することはできません。 たとえば、forest2 から forest3 の DACL にアカウントを追加する場合、次のエラーが発生します。

C:\temp>Icacls c:\temp\test1 /grant forest2.forest1.com\admins:r

forest2.forest1.com\admins: アカウント名とセキュリティ ID の間のマッピングは行われませんでした。

0 個のファイルが正常に処理されました。1 つのファイルの処理に失敗しました

サフィックス ルーティングに関する信頼情報を印刷すると、サフィックスが競合していると報告されます。

C:\>netdom trust forest3.com /namesuffixes:forest1.com

名前、種類、状態、メモ

1. *.forest1.com、名前サフィックス、有効

C:\>netdom trust forest3.com /namesuffixes:forest2.forest1.com

名前、種類、状態、メモ

1. *.forest2.forest1.com、名前サフィックス、競合、forest1.com

ネットワーク トレースでは、フォレスト内の DC に対して失敗 forest3.com リソースに対する forest2.forest1.com のユーザーからの Kerberos チケット要求を確認できます3。

231 lsass.exe (708) <クライアント><dc forest3> KerberosV5 KerberosV5:TGS 要求領域: forest3.com Sname: cifs/fileserver.forest3.com233 Idle (0) <dc forest3><client> KerberosV5:KRB_ERROR - KDC_ERR_POLICY (12)

KDC ETL では、次のような内容が表示されます。

DEB_ERROR,dll,pac_cxx3792,KdcFilterSids(),"SIDS (LsaIFilterSids): 0xc000019b" をフィルター処理できませんでした。

原因

Kerberos には、正確なサフィックス マッピングが必要です。 LSA では、ドメイン検索のルーティングに 1 つの関数セットが使用され、フォレストの信頼には Kerberos ルールが使用されます。

解決方法

forest3.com と forest2.forest1.com の間のフォレストの信頼を外部信頼に置き換えると、ドメイン名の正確なマッピングのみが存在し、Kerberos で必要なサフィックス マッピングがないため、問題は発生しません。

このエラーを回避するもう 1 つの方法は、フォレストの信頼内の forest2.forest1.com のサフィックスを forest3.com と forest1.com の間で除外することです。 "子" フォレストのサフィックスが競合するため、"子フォレスト" 信頼でこのサフィックスを再アクティブ化する必要があります。

詳細

参照：

フォレストの信頼と除外: 名前サフィックス ルーティング

除外を使用した UPN ルーティング: フォレスト信頼の展開に関する考慮事項